STA:YFV勒索事件分析：DeFi需做好上線前的代碼審計工作_USD

YFV是基于以太坊的一個DeFi項目，今天早些時候，YFV官方發文稱遭到勒索。攻擊者利用staking的合約漏洞，可以任意重置用戶鎖定的YFV。

并表示，此次事件可能和不久前的『pool0』事件相關，勒索者極有可能是在『pool0』事件中未取回資金的『憤怒的農民』。

漏洞分析

OKEx將支持YFV置換為VALUE:據OKEx官方公告，YFV將按照1:1的比例置換為VALUE，OKEx將支持本次置換。因暫停提幣，將按照平臺快照數據為用戶先行置換，開放提幣后會再進行鏈上置換。置換期間，OKEx對于YFV幣幣、杠桿和永續合約交易的具體處理方案請點擊“原文鏈接”。[2020/10/28]

合約存在一個stakeOnBehalf函數使得攻擊者可以為任意用戶進行抵押，如下圖所示：

BBKX平臺已于今日9時上線YFV、YAMV2、CVP:據BBKX官方消息，平臺已于今日9時上線YFV/USDT、YAMV2/USDT、CVP/USDT幣對，并開放交易，幣種詳情請點擊原文鏈接。

BBKX是一家持續分紅的綜合型交易平臺，已獲得節點資本與鏈上基金聯合戰略投資。[2020/9/3]

此函數中的lastStakeTimes=block.timestamp;語句會更新用戶地址映射的laseStakeTimes。而用戶取出抵押所用的函數中又存在驗證，要求用戶取出時間必須大于lastStakeTimes+72小時。如下圖所示：

DeFi項目YFValue針對包括小玩家在內的所有用戶啟動流動性挖礦計劃:DeFi項目YFValue協議于本周啟動流動性挖礦計劃，致力于通過通貨膨脹率可鏈上投票、自動推薦（Referral ）等獨特功能為包括小玩家在內的所有用戶提供流動性挖礦收益，用戶可直接質押穩定幣和其他加密貨幣。

YFV是該協議的治理代幣，YFV.Finance是DeFi 收益聚合器。YFV總供應量為2100萬枚，分配在11個池子中，具體分發時間會根據YFV農耕者（Farmer）的投票進行更改。另外，YFValue還引入了兩個基于彈性供應模型的新代幣，分別為vUSD和vETH。vUSD和vETH將根據市場具體情況擴大或減少供應量，旨在將價格固定為1 vUSD 等于1美元，1vETH等于1 ETH。[2020/8/23]

UnfrozenStakeTime如下圖所示：

綜上所述，惡意用戶可以向正常用戶抵押小額的資金，從而鎖定正常用戶的資金。

根據鏈上信息，我們找到了兩筆疑似攻擊的交易,如下所示：

0xf8e155b3cb70c91c70963daaaf5041dee40877b3ce80e0cbd3abfc267da03fc9

0x8ae5e5b4f5a026bc27685f2b8cbf94e9e2c572f4905fcff1e263df24252965db

其中一筆如下圖所示：

此兩筆交易都來自同一地址，且均為極小值。由此我們可以基本判定這是一個測試鎖死問題的交易。

總結

針對于本次事件，究其根本原因，還是沒有做好上線前的代碼審計工作。本次事件實際上是屬于業務層面上的漏洞。

根據成都鏈安在代碼審計方面的經驗，個別項目方在進行代碼審計時，未提供完整的項目相關資料，使得代碼審計無法發現一些業務漏洞，導致上線后損失慘重。

成都鏈安·安全實驗室在此提醒各項目方：安全是發展的基石，做好代碼審計是上線的前提條件。

Tags：STAUSDSTAKVALUEApe StaxUSD幣pstake幣價格Value Finance

BNB